31.08.2018 |
Datenschutz
Ausgabe 09/2018

Diese Folgen hat die DS-GVO für die Privatliquidation im Krankenhaus

von RA und FA ArbR und MedR Dr. Tilman Clausen, armedis Rechtsanwälte, Hannover, www.armedis.de

Die Datenschutz-Grundverordnung (DS-GVO) hat weitreichende Folgen für die Verarbeitung von Daten im Krankenhaus. Auch für die Privatliquidation ärztlicher Leistungen in der Chefarztambulanz und im Rahmen stationärer Wahlleistungen werden Daten von Patienten verarbeitet. Dies geschieht z. T. durch privatärztliche Verrechnungsstellen (PVS). Welche Vorgaben der DS-GVO für die Datenverarbeitung in der Privatliquidation gelten und wie Sie diese umsetzen, fasst der folgende Beitrag zusammen.

Gegenstand, Ziele und Auslegung der DS-GVO

Art. 1 DS-GVO definiert den Gegenstand und die Ziele der Verordnung. Bezogen auf die Verarbeitung von Gesundheitsdaten im Rahmen der Patientenversorgung im Krankenhaus will die Verordnung zweierlei erreichen:

  • Schutz der Patienten und ihrer personenbezogenen Daten und
  • Gewährleistung des Rechts auf Verarbeitung personenbezogener Daten im Rahmen des für die Patientenversorgung jeweils Notwendigen

Wenn also das Krankenhaus (oder in dessen Auftrag ein externer Dienstleister) personenbezogene Daten von Patienten verarbeitet, sollen diese Daten nur so weit geschützt sein, dass die reibungslose Patientenversorgung unbeeinträchtigt bleibt. Gleichwohl hat die DS-GVO zu Verunsicherung geführt. Die folgenden Ausführungen nehmen immer den sichersten Weg und damit möglicherweise etwas „zu viel an Datenschutz“.

DS-GVO und die Privatliquidation

Für die Abrechnung ärztlicher Leistungen, die ein ambulant oder stationär behandelter Privatpatient im Krankenhaus in Anspruch nimmt, sind insbesondere die Regelungen zur Verarbeitung von Gesundheitsdaten (Art. 9) und die Informationspflicht (Art. 13) relevant.

Verarbeitung von Gesundheitsdaten (Art. 9)

Nach Art. 9 Abs. 1 DS-GVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt. Hierzu gehören u. a. auch Gesundheitsdaten. Da aber z. B. die Gesundheitsversorgung ohne die Verarbeitung personenbezogener Daten nicht funktionieren würde, enthält Abs. 2 eine Vielzahl von Ausnahmeregelungen. Nach Abs. 3 dürfen Gesundheitsdaten zu den in Abs. 2h genannten Zwecken nur von Fachpersonal verarbeitet werden, das dem Berufsgeheimnis unterliegt. Im Krankenhaus sind das Ärzte, Pflege- und Administrationskräfte oder die Mitarbeiter von PVS. Nach § 203 Strafgesetzbuch (StGB) unterliegen diese Berufsgruppen dem Berufsgeheimnis.

Hier erlaubt Art. 9 DS-GVO die Verarbeitung von Gesundheitsdaten
  • Die betroffene Person (hier: Patient) hat in die Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt (Abs. 2a).
  • Nach Abs. 2h ist die Verarbeitung von Gesundheitsdaten möglich
  • für Zwecke der Gesundheitsvorsorge,
  • für die Beurteilung der Arbeitsfähigkeit der Beschäftigten,
  • für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
  • für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaates oder
  • aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs

Wichtig: Damit dürfen Sie personenbezogene Daten in der Gesundheitsversorgung auch ohne Einwilligung des Patienten verarbeiten. Sie können die Datenverarbeitung in diesem Bereich aber auch vertraglich vereinbaren.

  • Die Verarbeitung ist weiterhin möglich zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten (Abs. 2i).

 

Praxistipp

Im Jahr 2017 wurden die Bestimmungen zum Berufsgeheiminis in § 203 StGB geändert. Die Änderung gewährt auch externen Dienstleistern (z. B. IT-Beratern) den Zugang zu personenbezogenen Daten, die dem Berufsgeheimnis unterliegen. Diese verarbeiten i. d. R. aber keine Daten, sondern warten oder reparieren die EDV, die für die Datenverarbeitung notwendig ist. Die Dienstleister sind ebenfalls mithilfe eines schriftlichen Vertrags zur Verschwiegenheit zu verpflichten.

 

Informationspflicht gegenüber der betroffenen Person (Art. 13)

Art. 13 DS-GVO regelt die Informationspflicht desjenigen, der personenbezogene Daten erhebt, gegenüber der betroffenen Person. Chefärzte, die eine Privatambulanz aufgrund einer Nebentätigkeitsgenehmigung betreiben, behandeln Privatpatienten und stellen ihnen ärztliche Leistungen in Rechnung. Dafür müssen sie personenbezogene Daten erheben und verarbeiten.

Wenn Sie als Chefarzt Ihre privatärztlichen Leistungen selbst abrechnen, müssen Sie Ihren Patienten zukünftig umfassend erläutern, was mit diesen Daten geschieht und wann sie wieder gelöscht werden. Dies muss im Zweifel auch nachweisbar sein. Daher ist es sinnvoll, wenn Sie sich für die Erläuterung am Inhalt von Art. 13 DS-GVO orientieren.

Bei der stationären Versorgung von Wahlleistungspatienten ist wie folgt zu differenzieren:

  • Wenn die Abrechnung wahlärztlicher Leistungen Sache des Krankenhausträgers ist und Sie als Chefarzt nur eine Beteiligungsvergütung bekommen, ist der Krankenhausträger für die Information der Patienten verantwortlich.
  • Wenn Sie als Chefarzt selbst ein Liquidationsrecht haben, stimmen Sie sich mit dem Krankenhausträger über die Information des Patienten ab. Vereinbaren Sie, wer jeweils was übernimmt (am besten schriftlich).

Bei Abrechnung über PVS liegt Auftragsdatenverarbeitung vor

Eine Auftragsdatenverarbeitung liegt vor, wenn Sie eine PVS mit der Abrechnung Ihrer Privatliquidation beauftragt haben. In diesem Fall muss der Auftraggeber (Chefarzt oder Krankenhausträger) mit der PVS einen Vertrag über die Auftragsdatenverarbeitung schließen (Art. 26, Art. 28 DS-GVO, für Mustervertrag siehe weiterführende Hinweise). Wenn Sie dagegen an die PVS Ihre privatärztliche Honorarforderung verkaufen (Factoring-Vertrag), wird diese im eigenen Namen tätig. Es liegt dann weder eine Auftragsdatenverarbeitung vor noch benötigen Sie einen entsprechenden Vertrag.

Praxistipp

Unabhängig davon, ob eine Auftragsdatenverarbeitung oder ein Factoring vorliegt, muss der Patient über die Datenverarbeitung unterrichtet werden. Dazu gehört auch der Zweck, zu dem die PVS Daten des Patienten verarbeitet.

 

Einwilligung des Patienten in die Datenverarbeitung

Der Patient muss in die Verarbeitung seiner personenbezogenen Daten durch die PVS einwilligen. Dabei spielt es keine Rolle, ob die PVS im Auftrag des Arztes oder nach Forderungsabtretung auf eine Rechnung handelt.

DS-GVO und Berufsgeheimnis

Die Einwilligung des Patienten ist notwendig, weil neben der DS-GVO auch das Berufsgeheimnis nach § 203 StGB gilt. Will der Arzt die Daten Dritten offenbaren, die ebenfalls dem Berufsgeheimnis unterliegen (z. B. einer PVS), muss der Patient vorher einwilligen. Dies gilt auch, wenn die PVS im Bereich der ärztlichen Abrechnung nach SGB V tätig wird (z. B. bei ASV nach § 116b SGB V i. V. m. § 295 SGB V). Berufsgeheimnis und DS-GVO sind rechtlich unabhängig voneinander anwendbar: Ist z. B. eine Datenübermittlung oder -nutzung nach der DS-GVO zulässig, verstößt aber gegen ein Berufsgeheimnis, so ist sie insgesamt unzulässig („2-Schranken-Prinzip“).

Merke

Ginge es nur nach der DS-GVO, wäre nach Art. 9 Abs. 2h eine Datenverarbeitung durch die PVS auch ohne Einwilligung des Patienten gedeckt: Die Verarbeitung personenbezogener Gesundheitsdaten wäre aufgrund eines Vertrags zwischen dem Patienten mit einem Angehörigen eines Gesundheitsberufs (z. B. über die Beauftragung einer PVS) erlaubt. Indem der Patient einen solchen Vertrag unterschreibt, willigt er in die Tätigkeit der PVS ein.

 

Gestaltung der Einwilligungserklärung

Im Rahmen der Einwilligungserklärung ist der Patient über die Datenverarbeitung durch die PVS zu unterrichten (Art. 13 DS-GVO). Außerdem ist die Einwilligung zweckbestimmt. Das gilt insbesondere, wenn Sie als Chefarzt Ihre Forderung an die PVS verkaufen und mit der Abtretung unterschiedliche Zwecke verbunden sind (z. B. Abrechnung, Bonitätsprüfung, Einschaltung von Inkassobüros, Weiterabtretung zur Refinanzierung). In diesen Fällen muss der Patient in jeden Zweck gesondert einwilligen (Art. 9 Abs. 2a, Art. 6 Abs. 1a i. V. m. Nr. 32 Erwägungsgründe DS-GVO).

Die meisten Einwilligungserklärungen, die im Krankenhaus für die Privatliquidation verwendet werden, dürften seit dem 25.05.2018 nicht mehr wirksam sein. Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat eine Arbeitshilfe zur Erstellung von Einwilligungen veröffentlicht, die die Anforderungen gemäß Art. 7 DS-GVO erfüllen (siehe weiterführende Hinweise).Folgende Anforderungen an die Einwilligung ergeben sich gemäß Art. 7 DS-GVO:

  • Der Verarbeitende muss die Einwilligung nachweisen können. Hierfür ist die Schriftform (bzw. bei Online-Einwilligungen die Textform) sinnvoll.
  • Wenn die Einwilligungserklärung Teil einer anderen schriftlichen Erklärung (z. B. Wahlleistungsvertrag) ist, muss der Patient sie von den übrigen Bestandteilen klar unterscheiden können: Die Einwilligungserklärung muss verständlich, leicht zugänglich und in klarer und einfacher Sprache abgefasst sein.
  • Der Patient muss seine Einwilligung jederzeit widerrufen können. Der Widerruf muss ebenso einfach möglich sein wie die Einwilligung selbst. Über sein Widerrufsrecht ist der Patient zu informieren.
  • Die Erfüllung der vereinbarten Leistung darf nicht davon abhängig gemacht werden, ob der Patient mehr Daten von sich preisgegeben hat als es die Leistungserbringung verlangt (vor allem relevant für die Erhebung von Kundendaten zu Werbezwecken).

Patient zahlt nicht: Einschalten eines Anwalts weiter erlaubt

Wenn der Patient die privatärztliche Rechnung nicht zahlen sollte, bleibt es bei der bisherigen Rechtslage. Der Arzt kann in diesem Fall einen Anwalt einschalten, der wiederum die personenbezogenen Daten des Patienten verarbeiten darf. Datenschutzrechtlich ergibt sich dies aus Art. 6 Abs. 1f DS-GVO. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dies dürfte hier der Fall sein, da anders die Interessen des Arztes nicht durchsetzbar wären.

Weiterführende Hinweise

  • Die GDD hat einen Mustervertrag zur Auftragsverarbeitung (de/eng) und einen Praxisleitfaden als offene Word-Datei veröffentlicht. Den Mustervertrag finden Sie online unter www.iww.de/s1778, den Praxisleitfaden unter www.iww.de/s1779
  • Eine Arbeitshilfe der GDD zur Erstellung von Einwilligungen finden Sie online unter www.iww.de/s1781

AGB und Datenschutz

AGB und Datenschutz

Wir bedanken uns für Ihren Besuch auf dieser Website. Hier finden Sie unsere
>>AGB
und unsere
>>Datenschutzbestimmungen.

Cookie-Einstellungen

Impressum

Impressum

Guerbet GmbH
Otto-Volger-Straße 11,
65843 Sulzbach/Taunus
Telefon: 06196 762-0
www.guerbet.de
E-Mail: info@guerbet.de

>>Weiterlesen

Kontakt zur Redaktion

Kontakt zur Redaktion

Wenn Sie Fragen oder Anregungen zur Berichterstattung haben, erreichen Sie uns über folgende E-Mail-Adresse: rwf@iww.de.

Produktinformation

Produktinformation

Wenn Sie Fragen oder Anmerkungen zu Produkten der Guerbet GmbH haben, kontaktieren Sie uns bitte hier.

>>Zum Kontaktformular